« La sécurité des données ne devrait pas être compliquée. »

Dr. Holfelder, le Centre d'ingénierie de la sécurité de Google, ou CISG, a ouvert ses portes à Munich en 2019. Que se passe-t-il au centre?

Le CISG est le pôle mondial de Google dans le domaine de l'ingénierie de la confidentialité et de la sécurité. C'est ici que nous développons de nouveaux produits, déterminons les besoins des utilisateurs, échangeons nos connaissances et collaborons avec nos partenaires dans le but d'améliorer la sécurité d'Internet.

La confidentialité et la sécurité des données revêtent une grande importance en Allemagne. Dans quelle mesure cette tradition locale a-t-elle été importante pour l'établissement du Centre d'ingénierie de la sécurité de Google ici?

Il y a 12 ans, lorsque j'ai mis en place le bureau de Google à Munich, il est rapidement devenu évident que la protection des données était très importante pour nos utilisateurs en Allemagne. En ce qui concerne la protection et la sécurité des données, la première chose que nous avons faite a été de mettre en place des équipes de développement spéciales. Après avoir passé 10 ans à faire évoluer ces équipes à Munich, nous cherchions à élargir leur portée et à nous ouvrir au dialogue. C'est pourquoi il était logique de créer le CISG à Munich, une ville qui est très attentive à ces questions. Nous avons travaillé pour nous assurer que tous nos produits répondent aux exigences du Règlement général sur la protection des données (RGPD) de l'Union européenne. Cette connaissance et cette prise de conscience s'étendent à d'autres pays. En effet, la confidentialité et la sécurité des données suscitent de plus en plus d'attention à travers le monde.

Le CISG est un lieu de travail international dont le personnel se compose d'employés originaires de plus de 40 pays différents.

Travailler avec des produits internationaux nous oblige à envisager des perspectives variées. Cela est réalisable lorsque notre personnel représente autant que possible les utilisateurs. Cependant, nous sommes loin de l'objectif que nous nous sommes fixé pour le moment, et nous nous engageons à constituer des équipes diversifiées. Nous aimerions, par exemple, avoir beaucoup plus de femmes dans nos équipes de développement.

À quoi ressemble une journée typique au CISG?

Plus de 200 ingénieurs spécialisés dans la protection de la confidentialité travaillent chaque jour sur des produits Google tels que le compte Google et le navigateur Google Chrome. Nous organisons également des ateliers pour les personnes qui s'y intéressent, y compris une formation en sécurité, de même que des événements tels que des ateliers de programmation sur la confidentialité différentielle. C'est particulièrement important pour moi parce que le paysage évolue rapidement, et c'est dans ce contexte que nous voulons proposer davantage d'informations sur le thème de la sécurité sur Internet.

Un énoncé de mission de Munich : un aperçu du Centre d'ingénierie de la sécurité de Google

Quels sont les types de choses que vous faites et que les internautes peuvent rencontrer au quotidien?

Si vous utilisez des produits Google, vous vous êtes peut-être déjà demandé quels types de données sont utilisés à des fins de personnalisation, par exemple pour produire de meilleurs résultats de recherche. Le compte Google vous donne un aperçu des données d'activité utilisées pour ces renseignements personnels. Vous pouvez également configurer votre compte Google selon que vous souhaitez ou non que cette collecte de données se poursuive. À cette fin, nous avons développé la vérification des paramètres de confidentialité, qui vous permet de définir rapidement vos préférences de confidentialité dans votre compte Google. Pour Chrome et Android, nous avons également développé le gestionnaire de mots de passe, un outil qui crée et enregistre automatiquement un mot de passe pour chaque site Web de même que chaque application que vous utilisez, le tout sur demande. En outre, les utilisateurs peuvent se servir de l'outil Vérification de mot de passe pour analyser leurs mots de passe afin de détecter d'éventuels problèmes de sécurité. En quelques secondes, ils peuvent voir si un ou plusieurs de leurs mots de passe ont été compromis lors d'un vol de données et ils reçoivent des instructions sur la manière de modifier ces mots de passe. Je suis particulièrement fier du travail réalisé par le CISG en ce qui concerne ces outils de protection des mots de passe.

Pouvez-vous m'expliquer pourquoi?

Le gestionnaire de mots de passe ne peut pas être trompé par les sites d'hameçonnage, et vous pouvez créer un nouveau mot de passe fort pour chaque site Web sans avoir besoin de vous en souvenir. Cela empêche les pirates informatiques de découvrir vos mots de passe, en plus de vous empêcher d'utiliser le même mot de passe sur plusieurs sites.

Pourquoi cela poserait-il problème?

Supposons que je commande des fleurs pour ma femme sur un site Web et que je saisis à la hâte un mot de passe que j'utilise également ailleurs pour mon compte client sur ce site. Si des pirates informatiques parviennent à accéder au serveur du fleuriste et à mettre la main sur ce mot de passe, ils pourront rapidement déterminer si mon compte de messagerie ou mon compte Google est également accessible avec ce même mot de passe. Mais ce n'est pas tout : ils seront en mesure de créer de nouveaux mots de passe pour d'autres comptes que j'utilise. Le gestionnaire de mots de passe protège votre sécurité en ligne en générant automatiquement des mots de passe forts et uniques pour chaque site.

« Travailler avec des produits internationaux nous oblige à envisager des perspectives variées. »

Wieland Holfelder

Vice-président de l'ingénierie chez Google et responsable du site

Existe-t-il des mesures encore plus sûres qui peuvent être utilisées?

Oui, vous pouvez également utiliser l'authentification à deux facteurs si vous disposez d'un compte Google. Cette fonctionnalité fait en sorte que chaque fois que vous vous connectez à votre compte sur un nouvel appareil, vous devez entrer un code que nous vous transmettons par téléphone.

Comment développez-vous exactement ce type de nouveaux produits au CISG?

Par exemple, nous invitons des utilisateurs à visiter notre « laboratoire de recherche sur l'expérience utilisateur » ou à participer à des entretiens en ligne, afin de découvrir comment ils utilisent Internet ou effectuent leurs recherches. Cette démarche nous permet de comprendre quels sont les outils et le type d'aide dont ils ont généralement besoin pour prendre des décisions éclairées concernant leurs préférences de confidentialité. Nous leur posons des questions telles que « pouvez-vous nous dire comment vous utilisez le navigateur Chrome avec les différents membres de votre famille? », et nous leur demandons également d'interagir avec nos produits afin de pouvoir évaluer la façon dont ils réagissent à ceux-ci. Ces perspectives sont très importantes parce qu'elles nous aident à comprendre si nos informations sont bien placées, ou si l'interface et les boutons sont utiles ou non. Cette façon de faire nous permet de nous assurer que nos produits répondent bien aux besoins de nos utilisateurs. Notre philosophie est la suivante : le sentiment de sécurité sur le Web ne doit pas être réservé aux experts en sécurité. Ces conditions, et le fait que les besoins sont très différents dans ce contexte, continueront à guider notre travail à l'avenir.

Entre autres choses, vous travaillez actuellement à rendre les témoins tiers obsolètes. Que sont les témoins?

Les témoins font partie intégrante d'Internet depuis sa création. Il s'agit de petits fichiers que les fournisseurs de sites Web utilisent pour stocker des informations localement sur un ordinateur. Encore aujourd'hui, les témoins jouent un rôle important sur Internet. Par exemple, les témoins directs servent à vous garder connecté à un compte en ligne ou à faire fonctionner les paniers d'achats sur les sites de commerce électronique. Il existe également les témoins tiers, qui sont utilisés à des fins d'affichage d'annonces pertinentes. Les témoins tiers peuvent également enregistrer votre activité de recherche en ligne d'un produit particulier. Par exemple, un témoin peut constater que vous recherchez un sac à dos sur un site donné, puis vous montrer une annonce pour un sac à dos similaire sur un site différent.

Pourquoi?

Internet est une plateforme ouverte et largement gratuite. Les offres de sites Web sont principalement financées par les annonces; plus les annonces sont pertinentes, plus elles profitent aux utilisateurs comme aux fournisseurs.

Les témoins tiers permettent de suivre les mouvements des utilisateurs en ligne. Vous travaillez actuellement sur des moyens de mettre fin à cette pratique à l'avenir. Est-ce bien exact?

Oui, nous développons actuellement le « Bac à sable de confidentialité » afin qu'à l'avenir, les annonceurs ne puissent plus identifier les utilisateurs grâce aux témoins. À travers la communauté du Web, nous avons observé une prise de conscience générale quant au fait que les témoins tiers ne répondaient pas aux attentes des utilisateurs. Ces derniers exigent une plus grande protection de la confidentialité, y compris plus de transparence, plus de choix et plus de contrôle sur l'utilisation de leurs données, et il apparaît clairement que l'écosystème du Web doit évoluer pour répondre à ces demandes. Pour mettre fin au suivi intersite, le Web doit abandonner les témoins tiers et les autres techniques discrètes telles que le pistage par empreinte numérique unique du navigateur. Or, au cours des quelque 30 dernières années et plus, de nombreuses fonctionnalités essentielles du Web en sont venues à recourir à ces mêmes techniques. Nous ne voulons pas que le Web soit privé de fonctionnalités essentielles, comme celles qui permettent aux éditeurs de poursuivre la croissance de leurs activités et d'assurer la durabilité du Web, de garantir un accès universel au contenu, d'offrir les meilleures expériences aux utilisateurs sur leurs appareils individuels, de distinguer les vrais utilisateurs des robots et des fraudeurs, etc. L'objectif que nous poursuivons avec le Bac à sable de confidentialité, une initiative fondée sur les logiciels libres, est de rendre le Web plus privé et plus sûr pour les utilisateurs, tout en soutenant les éditeurs.

Comment Google résout-elle le problème?

Dans le cadre de l'initiative du Bac à sable de confidentialité, nous travaillons avec la communauté du Web pour développer une nouvelle technologie qui protège la confidentialité des renseignements des utilisateurs et évite les techniques de suivi intrusives, comme le pistage par empreinte numérique unique, tout en offrant aux sites un moyen de diffuser des annonces utiles et de financer leur activité. Plus tôt cette année, nous avons présenté une version d'aperçu de l'API Topics, une nouvelle proposition issue de l'initiative du Bac à sable de confidentialité qui mise sur les annonces basées sur les centres d'intérêt comme solution de remplacement de l'apprentissage fédéré des cohortes, et qui est fondée sur les commentaires des organismes de réglementation, des défenseurs de la vie privée et des développeurs. Cette solution permet aux annonceurs de présenter des publicités pertinentes aux utilisateurs en fonction de leurs centres d'intérêt, tels que « le sport », lesquels sont déterminés à partir des sites Web qu'ils visitent, le tout dans le respect le plus total de leur confidentialité. Les témoins ont été utilisés pour identifier les utilisateurs dans le passé, mais leur fonctionnement repose sur le principe que votre historique de navigation personnel reste dans votre navigateur ou votre appareil et qu'il n'est partagé avec personne, y compris les annonceurs. Cela signifie que les annonceurs peuvent continuer à diffuser des annonces et des contenus pertinents sans être obligés d'effectuer un suivi sur l'ensemble du Web.

Nous progressons également à grands pas sur d'autres propositions pour le Bac à sable de confidentialité, notamment FLEDGE et les API de mesure, et nous continuons à collaborer avec l'autorité de la concurrence et des marchés (Competition and Markets Authority ou CMA) du Royaume-Uni pour nous assurer que nos propositions sont élaborées de telle sorte qu'elles fonctionnent pour l'ensemble de l'écosystème.

Ces dernières années, Munich est devenue un lieu de prédilection pour les entreprises en démarrage du secteur numérique et d'autres entreprises technologiques. Quelle a été votre expérience à cet égard en tant que responsable du site de Google Munich?

Munich vit des changements remarquables. Apple, Amazon et Google investissent et développent leurs activités ici, de même que d'autres excellentes entreprises comme Celonis, une entreprise licorne qui fournit des services d'analyse de données. Une plus grande proportion d'entreprises B2B ont été créées ici plutôt qu'ailleurs parce qu'il y a beaucoup d'autres solides entreprises technologiques établies dans la région. Nous jouissons également d'excellentes universités, comme la LMU et la TUM, qui gèrent des centres d'entrepreneuriat locaux. En outre, le gouvernement de l'État de Bavière offre des niveaux de soutien incomparables dans le cadre de son plan d'action « High-Tech Agenda ». Par exemple, nous observons des investissements massifs dans l'intelligence artificielle et l'informatique quantique, ce qui est fantastique. Au-delà de sa longue tradition régionale et de son expertise en matière d'ingénierie comme de technologie, sa situation économique forte, son soutien politique favorable, ses excellents établissements d'enseignement et sa qualité de vie supérieure constituent une combinaison gagnante qui fait de Munich un site exceptionnel.

Le CISG a ouvert ses portes dans la capitale bavaroise il y a deux ans.

La construction des nouveaux bureaux de Google à Munich est en cours. La pandémie de coronavirus a-t-elle perturbé vos plans?

Avant la pandémie, nous passions la plupart de notre temps au bureau, qui compte bon nombre de cafés, de salles de réunion ainsi que de restaurants permettant aux employés de se rencontrer et de cocréer en personne. Bien évidemment, cette approche du travail a été considérablement bouleversée par la pandémie, et nous procédons actuellement à l'intégration de nombreux enseignements tirés de la dernière année dans la planification de notre nouveau et passionnant projet Arnulfpost.

Est-il possible de créer la même atmosphère avec le travail à distance?

Notre entreprise est née et a évolué dans le nuage, et nous vivons tous dans le nuage. C'est pourquoi nous essayons d'encourager le personnel à interagir en ligne lors de déjeuners-réunions ou de vidéoconférences ouvertes. Cependant, nous croyons que nous ne pourrons pas nous appuyer indéfiniment sur le capital social que nous avons constitué au fil des ans. Nous avons engagé beaucoup de personnes qui n'ont même pas encore mis les pieds dans nos bureaux. C'est donc un défi pour tous les gestionnaires de réunir tous les membres de leur équipe.

Qu'est-ce que cela implique quant à la manière dont le travail sera mené à l'avenir, en particulier au CISG à Munich?

Nous croyons profondément à l'importance de réunir les gens au travail afin de susciter la sérendipité nécessaire à l'émergence de nouvelles idées innovantes, de sorte que notre mode de travail ne sera pas entièrement virtuel. Cela dit, nous nous sommes demandé si tout le monde devait disposer d'un lieu de travail fixe. Nos équipes des ventes peuvent déjà travailler de manière flexible, et beaucoup d'outils de développement de nos ingénieurs migrent vers le nuage. À l'avenir, chaque équipe pourra décider elle-même du nombre de postes de travail flexibles et fixes qu'elle souhaite conserver. Et peut-être qu'au lieu de postes de travail fixes, nous aurons besoin de plus d'espaces créatifs pour le remue-méninges, avec des caméras, des projecteurs et des tableaux blancs électroniques.

.

Photos : Sima Dehgani